建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
+ z, h5 {( ?7 u% Y* z  v: W
# h) D9 c; z) u: T' ^# \缺陷编号： WooYun-2012-15569

- U3 L: _) V+ T漏洞标题： 中国建设银行刷人民币漏洞
" G  G' y9 j& c# l; t) P
相关厂商： 建设银行
( A7 f9 \: g# ?% M
# H. u8 M- ^/ E漏洞作者： only_guest

提交时间： 2012-12-03

5 h/ K1 }& Y% N+ a漏洞类型： 设计缺陷/逻辑错误
) t5 i4 K, a; o: m, c. E. K* E
危害等级： 高
* j; ?( j9 I, x4 R0 u3 e4 N' a
漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
3 V0 z; `2 l9 Q2 g: {6 z
漏洞来源： http://www.wooyun.org

Tags标签： 无
1 I% K& ^0 R7 E: w+ V


20人收藏收藏
( H  e3 \) W# e9 e. T分享漏洞：
35
+ i; [" R! k* p$ O+ L
--------------------------------------------------------------------------------

, n8 @2 \  I( b& j) F+ B8 v% g7 V漏洞详情

, A& ~; X" ]5 t* j6 B披露状态：


2 U) d* I" T6 R2 B
1 O# b2 T& _( ^2 B) i4 V! c2012-12-03： 细节已通知厂商并且等待厂商处理中
, n# P. d& |, D2012-12-04： 厂商已经确认，细节仅向厂商公开

7 o- x/ H% C( J/ |' E9 M- p8 \- E) p
简要描述：
+ g% E  U  S# j
0 x4 L: Z; q& j" u$ w) x0 z偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
测试用的.你们收回去就是了.我是良民.

) W9 D4 D9 K9 s/ Z% G" X漏洞hash：47b3d87350e20095c8f314b7b6405711

- N9 u# F( ~' j2 a& |5 x) ]+ C. C版权声明：转载请注明来源 only_guest@乌云

- z) ]9 u$ C8 {# J7 J1 H--------------------------------------------------------------------------------
3 V. C# Z; s" a7 b0 P, _' v% A
漏洞回应
) W2 P' n- C/ r3 u+ t8 b. E. b
; G" _& d$ r6 Z! d) u厂商回应：
+ `: d3 u5 `  W( }
  I# I1 c) r1 a+ f6 ~9 O危害等级：高

漏洞Rank：12

确认时间：2012-12-04
0 E9 e) G- X) X) b1 e
' a/ w' u  c3 J3 j厂商回复：

  U# P' H7 b# R* G4 _: ICNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。
/ R5 S) {5 }( w# m6 V
2 b9 k! R8 D% K" p, k% d同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
1 M6 y% S6 u! r5 Z- S1 F8 w! X
. X" N+ z0 {: [9 O3 E: m6 P0 p4 b. t按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
9 J9 \+ ?% T" l6 w6 C